OSSEC编写DECODE

最新推荐文章于 2024-09-27 10:11:28 发布
最新推荐文章于 2024-09-27 10:11:28 发布
阅读量100 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/1449160/blog/212663
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

OSSEC编写DECODE

OSSEC之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID。
会编写DECODE会对使用OSSEC 有很大的帮助。 
OSSEC测试命令 ossec-logtest。
这里编写一个简单的规则,遇到caoqing的时候,会产生一条ALERTID为8888严重度级别为7的报警信息。
首先是创建一个规则,在/var/ossec/rule下创建一个testrule.xml内容为:
<group name="localtest">
<rule id="8888" level="7">
  <decoded_as>caoqing</decoded_as>
  <description>testrule</description>
</rule>
</group>
编写DECODE,在/var/ossec/etc/decoder.xml(默认安装目录)
<decoder name="caoqing">
  <prematch>^caoqing</prematch>
</decoder>
使用/var/ossec/bin/ossec-logtest进行测试
# /data/ossec/bin/ossec-logtest 
2014/03/19 16:28:06 ossec-testrule: INFO: Reading local decoder file.
2014/03/19 16:28:06 ossec-testrule: INFO: Started (pid: 23621).
ossec-testrule: Type one log per line.

caoqing


**Phase 1: Completed pre-decoding.
       full event: 'caoqing'
       hostname: 'kvmtest02'
       program_name: '(null)'
       log: 'caoqing'

**Phase 2: Completed decoding.
       decoder: 'caoqing'

**Phase 3: Completed filtering (rules).
       Rule id: '8888'
       Level: '7'
       Description: 'testrule'
**Alert to be generated.


转载于:https://my.oschina.net/u/1449160/blog/212663

weixin_33964094
关注
ossec的新功能--预编译规则之一:ossec的规则
daosecurity的专栏
03-05 2371
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec的规则定义。1. ossec的规则 ossec的规则是XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的
ossec支持mysql数据库_OSSEC 加固linux系统详细配置
weixin_35161750的博客
02-05 487
OSSEC是一个开源的基于主机的入侵检测系统,执行日志分析,文件完整性检查,政策监控,rootkit检测,实时报警和积极响应。它可以运行在大多数的操作系统,包括Linux,MacOS的时,Solaris,HP-UX,AIX和WindowsOssec部署方式为C/S,以下server:192.168.22.240 client:192.168.22.241先关闭selinux,安装常用包环境 C...
OSSEC-编写自己的DECODE
chengfangang的专栏
07-16 1433
关于OSSEC: OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,rook-kit检测。作为一款HIDS, OSSEC应该被安装在一台实施监控的系统中。 OSSEC 之所以产生报警,就是由于抓到了信息后由DECODE对信息
OSSEC的decoder语法
可木的专栏
03-08 994
选项: decoder Attributes: id::name:type:status: decoder.parent decoder.program_name Allowed: Any OS_Match/sregex Syntax decoder.prematch Allowed: Any OS_Match/sregex Syntax decoder.
OSSEC文档——规则和解码器的目录路径加载
c1052981766的专栏
02-28 659
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html规则和解码器的目录路径加载 允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。 用例: 可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则和解码器进行打包,使其成为...
OSSEC文档——创建自定义解码器和规则
c1052981766的专栏
02-28 1508
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器和规则 OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。 添加要监视的文件...
ossec主要功能介绍
AlexTan_的博客
07-26 8638
Ossec 主要功能OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检测 ,windows注册表监控,rootkit检测,实时报警及动态响影。完整性检测Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 在网络中有许多类型的攻击和攻击载体,说起这些攻击,有一种攻击是很特别的,他们留下一个跟踪程序,并总是想尽方
ossec mysql_OSSEC日志存入Mysql
weixin_28339527的博客
01-19 119
OSSECOutputandAlertoptionsSendingoutputtoaDatabaseOSSECsupportsMySQLandPostgreSQLdatabaseoutputs.1.ConfigurationoptionsTheseconfigurationsoptionscanbespecifiedintheserverorlo...
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ossec.github.io:Github上的OSSEC网站
05-09
ossec.github.io 这些是OSSEC Project官方网站的文件。 当网站源文件更新后,对于该存储库发出拉取请求时,它们将由Travis从ossec / ossec-docs存储库自动构建。 请勿更改此REPO中的文件。 如果要更新网站,请编辑...
ossec_wui web管理
02-22
**ossec_wui web管理** ossec_wui是一款基于Web的图形化管理界面,用于管理和监控ossec入侵检测系统。ossec(Open Source Security Information Management)是一个开源的、实时的入侵检测系统,它能帮助系统管理员...
ossec-hids-3.6.0 源码
03-28
**ossec-hids-3.6.0 源码详解** OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的...
ossec-debian:OSSEC HIDS Debian软件包
05-12
ossec-debian OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应。 这些是用于创建OSSEC-HIDS 2.8版debian软件包的文件,这些文件包含在ossec.net...
VeighNa:强大的Python开源量化交易平台
Unity打怪升级
09-26 656
VeighNa(简称 VN 或 vn.py)是一个基于 Python 的开源量化交易平台,专为量化交易爱好者和专业交易员设计。VeighNa 是由国内开发者社区推动的开源项目,旨在提供一个功能丰富、灵活且易于扩展的量化交易解决方案。该框架不仅支持多种资产类别的交易,如股票、期货、期权、加密货币等,还支持多种交易接口和协议,使得用户能够轻松进行多市场、多品种的交易策略开发和部署。
第二百五十四节 JPA教程 - JPA 多对多映射示例
最新发布
2301_78772942的博客
09-27 686
第二百五十四节 JPA教程 - JPA 多对多映射示例
Python精选200Tips:171-175
AnFany
09-26 1171
Python深度学习的项目
python中的深浅拷贝以及总体框架了解
AgostoDu的博客
09-26 1140
1、当b使用copy.deepcopy()深拷贝的时候,可以理解为b不仅外面的整体开辟了一个新的内存地址,b里面包含的列表也开辟了新的内存地址和a里面的内存地址没有任何关系,所以当a修改里面列表元素的值时不会影响b里面列表元素的值。print(mr) #{'name': 'lis', 'age': 18, 'scroe': 100}<br>备注:已经存在的值的优先级>默认值<br>6.3 直接修改 值,显示最新修改值 (修改默认值优先级小于直接添加的字典值)<br>
ubuntu安装libtorch
meng_152634的博客
09-25 730
nouveau是由第三方为NVIDIA显卡开发的一个开源3D驱动,ubuntu默认集成了nouveau驱动,安装NVIDIA驱动前必须禁用系统自带的显卡驱动nouveau,否则安装NVIDIA驱动时会报错。,一定要确定好安装的CUDA版本是否支持显卡的算力,否则安装成功也无法使用GPU加速。如果cmake版本低于3.18,会出现下面的报错,这是由于低于3.18的cmake不支持CUDA17的编译,需要更新cmake版本。因为安装的CUDA版本为12.1,这里选择最新版的CUDNN 9.4.0进行安装。
ossec logstash es大数据安全分析实践
本文将探讨如何利用ossec、logstash和elasticsearch进行大数据安全关联分析。ossec是一款开源的实时安全事件监控系统,logstash是数据收集、处理和转发的工具,而elasticsearch则是一个分布式搜索和分析引擎,三者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值